Cómo usar la Búsqueda de UDM para investigar una entidad

Compatible con:

Durante una investigación, puedes escribir una consulta de búsqueda de la AUA para mostrar detalles sobre una o más entidades (por ejemplo, una dirección IP, un usuario o un recurso), además de los eventos y las alertas que coinciden con los términos de la búsqueda.

En los sistemas que usan el RBAC de datos, solo puedes ver los datos que coinciden con tus alcances. Para obtener más información, consulta el impacto del RBAC de datos en la Búsqueda.

Cuando una búsqueda incluye una condición que identifica una entidad específica (por ejemplo, principal.ip="10.0.31.20"), los resultados de la búsqueda incluyen detalles sobre la entidad (si está presente en tu empresa), además de los eventos de la AUA que coinciden con toda la búsqueda.

El panel de resultados de la búsqueda incluye las siguientes pestañas:

  • Descripción general: Detalles sobre una o más entidades específicas.
  • Eventos: Son los resultados de la búsqueda que coinciden con toda la búsqueda y el período de búsqueda.
  • Alertas: Son alertas generadas por eventos que coinciden con la consulta de búsqueda completa.

Las condiciones de búsqueda de la Búsqueda de UDM pueden incluir campos de UDM (principal.hostname="alice") y campos agrupados (hostname="alice").

La búsqueda de la UDM puede incluir varias condiciones, cada una de las cuales especifica un identificador de entidad diferente. Estos son algunos ejemplos de consultas:

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

En la siguiente tabla, se incluyen ejemplos de consultas de búsqueda de la AUA para una o más entidades y el tipo de información que se muestra:

Tipo de información Consultas de ejemplo de la Búsqueda de UDM
Recurso
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
Dominio
  • domain="example.com"
  • target.hostname="example.com"
Archivo
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
IP
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
Usuario
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

Pestaña Overview (Descripción general)

En la pestaña Resumen, se muestra la información de la entidad en uno de los siguientes tipos de información predefinidos. La información que se presenta varía según el tipo de información.

Detalles del recurso

Cuando la búsqueda de la AUA incluye una condición que muestra un recurso específico, por ejemplo, principal.hostname="laptop-will" o principal.ip="10.0.0.76", la pestaña Resumen muestra la vista de recursos con información en los siguientes paneles:

  • Resumen de la búsqueda: Muestra la siguiente información:
    • Detalles sobre la entidad, incluida la dirección IP y la dirección MAC asociadas con el recurso durante el período de búsqueda La dirección IP y la dirección MAC también se pueden usar para identificar una entidad y se puede hacer clic en ellas para mostrar información adicional en el visor de entidades. También muestra la primera vez que se vio el activo en tu empresa y cuándo se vio por última vez. Puedes hacer clic en cualquiera de las marcas de tiempo (primera o última) para ejecutar una búsqueda nueva con ese tiempo.
    • Detalles sobre las alertas, incluido un gráfico que muestra la cantidad de alertas que involucraron a la entidad dentro del período de búsqueda El panel también muestra un subconjunto de reglas con la mayor cantidad de alertas.
    • Haz clic en Abrir alertas y IOC para ver todas las alertas generadas durante el mismo intervalo de tiempo de búsqueda.
    • Haz clic en Ver en la pestaña Alertas para cambiar a la pestaña Alertas en esta página y comenzar una nueva búsqueda en la entidad seleccionada.
    • Haz clic en una de las barras del gráfico para cambiar a la pestaña Alertas en esta página y comenzar una nueva búsqueda en la entidad seleccionada con el intervalo de tiempo de la barra en la que se hizo clic.
    • Haz clic en el vínculo Ver más para abrir la vista Campos de entidad y mostrar todos los campos de entidad asociados con el activo. Para copiar un campo de entidad en el portapapeles, haz clic en la casilla de verificación junto al campo de entidad, en Ver acciones y, luego, en Copiar entidad. Haz clic en la casilla de verificación en la parte superior para seleccionar todas las entidades.
  • IOC relevantes: Muestra los IOC asociados con el activo. Los IOC a los que se les asignó una gravedad más alta se muestran primero. Si haces clic en el nombre del IOC, se abrirá el visor de entidades a la derecha.
  • Entidades asociadas: Muestra otras entidades con las que se relaciona este activo, como los usuarios que accedieron a él. El panel muestra el tipo de entidad, cuándo se vio por primera vez en el entorno y cuándo se vio por última vez. También muestra los espacios de nombres asociados con un activo. Haz clic en una entidad para abrir el panel Contexto de la entidad. Haz clic en Mostrar todo el tiempo para mostrar las entidades asociadas durante todo el período disponible, en lugar del intervalo especificado en la búsqueda de la AUA.
  • Contexto de la entidad: Muestra detalles sobre la entidad que seleccionaste en el panel Entidades asociadas. En este panel, se muestra información diferente según el tipo de entidad que seleccionaste en el panel Entidades asociadas (por ejemplo, usuario o dominio).
  • Ir a la vista heredada: Navega a la vista de investigación de activos heredada. Para obtener más información, consulta Cómo investigar un recurso.

Detalles del dominio

Cuando la búsqueda de la AUA incluye una condición que especifica un dominio específico, por ejemplo, target.hostname="example.com", la pestaña Resumen muestra los detalles del Dominio con información en los siguientes paneles:

  • Resumen de la búsqueda: Muestra la siguiente información:
    • Detalles sobre el dominio, incluida la información de WHOIS asociada con el dominio registrado, la primera vez que se vio en tu empresa y la última vez (la más reciente) que se vio Haz clic en VT Context para ver información sobre el dominio de VirusTotal.
    • Detalles sobre las alertas, incluido un gráfico que muestra la cantidad de alertas que involucraron a la entidad dentro del período de búsqueda El panel también muestra un subconjunto de reglas con la mayor cantidad de alertas.
    • Haz clic en Abrir alertas y IOC para ver todas las alertas generadas durante el mismo intervalo de tiempo de búsqueda.
    • Haz clic en Ver en la pestaña Alertas para cambiar a la pestaña Alertas en esta página y comenzar una nueva búsqueda en la entidad seleccionada.
    • Haz clic en una de las barras del gráfico para cambiar a la pestaña Alertas en esta página y comenzar una nueva búsqueda en la entidad seleccionada con el intervalo de tiempo de la barra en la que se hizo clic.
    • Haz clic en el vínculo Ver más para abrir la vista Campos de entidad y mostrar todos los campos de entidad asociados con el dominio. Para copiar un campo de entidad en el portapapeles, haz clic en la casilla de verificación junto al campo de entidad, en Ver acciones y, luego, en Copiar entidad. Haz clic en la casilla de verificación en la parte superior para seleccionar todas las entidades.
  • IP resueltas: Muestra todas las direcciones IP resueltas que se vieron en tu empresa para el nombre de dominio completamente calificado (FQDN). Por ejemplo, si buscas target.hostname="test.altostrat.com", los resultados de la búsqueda podrían mostrar dos direcciones IP resueltas (198.51.100.81 y 203.0.113.81).
  • Subdominios y dominios hermanos: Muestra todos los subdominios asociados que se vieron en tu empresa para un FQDN determinado. Muchos adversarios usan el mismo dominio y subdominio para sus ataques. Por ejemplo, si buscas target.hostname="sandbox.altostrat.com", este panel mostrará dos subdominios, test.sandbox.altostrat.com y staging.sandbox.altostrat.com.
  • Prevalencia de recursos: Muestra la cantidad de recursos de tu empresa que se conectaron al dominio durante todo el período de los datos almacenados en tu cuenta de Operaciones de seguridad de Google. Cada barra del gráfico representa la cantidad de activos únicos de tu empresa que se conectaron al dominio en un día UTC. Si colocas el cursor sobre una barra, se mostrarán las entidades relacionadas en el día UTC que representa la barra. Haz clic en el nombre de la entidad para ver su resumen y descripción general en el panel contextual de la entidad que se muestra a la derecha. Haz clic en Ver eventos para ver los eventos relacionados con la entidad seleccionada en la pestaña de eventos de búsqueda.
  • Entidades asociadas: Muestra otras entidades con las que se relaciona este dominio, como los recursos que se comunicaron con él. La lista incluye el tipo de entidad, cuándo se vio por primera vez en tu empresa y cuándo se vio por última vez. Haz clic en una entidad para abrir el panel Contexto de la entidad.
  • Contexto de la entidad: Muestra detalles sobre la entidad que seleccionaste en el panel Entidades asociadas. En este panel, se muestra información diferente según el tipo de entidad que hayas seleccionado en el panel Entidades asociadas (por ejemplo, dirección IP o dominio).
  • Ir a la vista heredada: Navega a la vista de investigación Dominio heredada. Para obtener más información, consulta Cómo investigar un dominio.

Detalles del archivo

Cuando la búsqueda de UDM incluye una condición que muestra un solo archivo, por ejemplo, principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a", la pestaña Resumen muestra los detalles del Archivo con información en los siguientes paneles:

  • Resumen de la búsqueda: Muestra la siguiente información:
    • Detalles sobre el archivo, incluidos los valores de hash, el tamaño del archivo, la primera vez que se vio en tu empresa y la última vez (más reciente) que se vio Haz clic en VT Context para ver información sobre el archivo de VirusTotal.
    • Detalles sobre las alertas, incluido un gráfico que muestra la cantidad de alertas que involucraron a la entidad dentro del período de búsqueda El panel también muestra un subconjunto de reglas con la mayor cantidad de alertas.
    • Haz clic en Abrir alertas y IOC para ver todas las alertas generadas durante el mismo intervalo de tiempo de búsqueda.
    • Haz clic en Ver en la pestaña Alertas para cambiar a la pestaña Alertas en esta página y comenzar una nueva búsqueda en la entidad seleccionada.
    • Haz clic en una de las barras del gráfico para cambiar a la pestaña Alertas en esta página y comenzar una nueva búsqueda en la entidad seleccionada con el intervalo de tiempo de la barra en la que se hizo clic.
    • Haz clic en el vínculo Ver más para abrir la vista Campos de entidad y mostrar todos los campos de entidad asociados con el archivo. Para copiar un campo de entidad en el portapapeles, haz clic en la casilla de verificación junto al campo de entidad, en Ver acciones y, luego, en Copiar entidad. Haz clic en la casilla de verificación en la parte superior para seleccionar todas las entidades.
  • IOC relevantes: Muestra los IOC asociados con el archivo. Los IOC a los que se les asignó una gravedad más alta se muestran primero. Si haces clic en el nombre del IOC, se abrirá el visor de entidades a la derecha.
  • Preponderancia de los recursos: Muestra la cantidad de recursos de tu empresa asociados con el archivo durante todo el período de los datos almacenados en tu cuenta de Operaciones de seguridad de Google.
  • Entidades asociadas: Muestra otras entidades con las que se relaciona este archivo, como un recurso en el que se ejecutó o los usuarios que accedieron a él. La lista incluye el tipo de entidad, la primera vez que se vio en tu empresa y la última vez (más reciente) que se vio. Haz clic en una entidad para abrir el panel Contexto de la entidad.
  • Propiedades y metadatos de VirusTotal: Muestra información sobre el archivo de la base de datos de VirusTotal. Haz clic en Ver más para abrir un diálogo de VirusTotal y mostrar información adicional sobre el archivo.
  • Entidades asociadas: Muestra información diferente según el tipo de entidad que seleccionaste en el panel Entidades asociadas (por ejemplo, usuario o activo).
  • Contexto de la entidad: Muestra detalles sobre la entidad que seleccionaste en el panel Entidades asociadas. En este panel, se muestra información diferente según el tipo de entidad que seleccionaste en el panel Entidades asociadas (por ejemplo, usuario o activo).
  • Ir a la vista heredada: Navega a la vista de investigación de Archivo heredada. Para obtener más información, consulta Cómo investigar un archivo.

Detalles de IP

Cuando la búsqueda de la AUA incluye una condición que muestra una dirección IP externa específica, por ejemplo, target.ip="203.0.113.254", la pestaña Resumen muestra los detalles de la IP con información en los siguientes paneles:

  • Resumen de la búsqueda: Muestra la siguiente información:
    • Detalles sobre la dirección IP, incluida la primera vez que se vio en tu empresa y la última (más reciente) Haz clic en VT Context para ver la información disponible sobre esta dirección IP de VirusTotal.
    • Detalles sobre las alertas, incluido un gráfico que muestra la cantidad de alertas que involucraron a la entidad dentro del período de búsqueda El panel también muestra un subconjunto de reglas con la mayor cantidad de alertas.
    • Haz clic en Abrir alertas y IOC para ver todas las alertas generadas durante el mismo intervalo de tiempo de búsqueda.
    • Haz clic en Ver en la pestaña Alertas para cambiar a la pestaña Alertas en esta página y comenzar una nueva búsqueda en la entidad seleccionada.
    • Haz clic en una de las barras del gráfico para cambiar a la pestaña Alertas en esta página y comenzar una nueva búsqueda en la entidad seleccionada con el intervalo de tiempo de la barra en la que se hizo clic.
    • Haz clic en el vínculo Ver más para abrir la vista Campos de entidad y mostrar todos los campos de entidad asociados con la dirección IP. Para copiar un campo de entidad en el portapapeles, haz clic en la casilla de verificación junto al campo de entidad, en Ver acciones y, luego, en Copiar entidad. Haz clic en la casilla de verificación en la parte superior para seleccionar todas las entidades.
  • IOC relevantes: Muestra los IOC asociados con la dirección IP. Los IOC a los que se les asignó una gravedad más alta se muestran primero. Si haces clic en el nombre del IOC, se abrirá el visor de entidades a la derecha.
  • Prevalencia de activos: Muestra la cantidad de activos de tu empresa que se conectaron a la dirección IP durante el período especificado en la búsqueda de la AUA.
  • Entidades asociadas: Muestra otras entidades con las que se relaciona esta dirección IP, como los dominios en los que está registrada. La lista incluye el tipo de entidad, cuándo se vio por primera vez en tu empresa y cuándo se vio por última vez. Haz clic en una entidad para abrir el panel Contexto de la entidad.
  • Contexto de la entidad: Muestra detalles sobre la entidad que seleccionaste en el panel Entidades asociadas. En este panel, se muestra información diferente según el tipo de entidad que seleccionaste en el panel Entidades asociadas (por ejemplo, dominio o recurso). Si se muestra el vínculo, haz clic en VT Context para ver información sobre la entidad de VirusTotal.
  • Ir a la vista heredada: Navega a la vista de investigación de dirección IP heredada. Para obtener más información, consulta Cómo investigar una dirección IP.

Detalles del usuario

Cuando la búsqueda de la AUA incluye una condición que muestra un usuario específico, por ejemplo, principal.user.userid="alice", la pestaña Resumen muestra los detalles del usuario con información en los siguientes paneles:

  • Resumen de la búsqueda: Muestra la siguiente información:
    • Detalles sobre la entidad, incluidos el nombre completo, la primera vez que se vio en tu empresa y la última vez (la más reciente) que se vio, el título y la dirección de correo electrónico
    • Detalles sobre las alertas, incluido un gráfico que muestra la cantidad de alertas que involucraron a la entidad dentro del período de búsqueda El panel también muestra un subconjunto de reglas con la mayor cantidad de alertas.
    • Haz clic en Abrir alertas y IOC para ver todas las alertas generadas durante el mismo intervalo de tiempo de búsqueda.
    • Haz clic en Ver en la pestaña Alertas para cambiar a la pestaña Alertas en esta página y comenzar una nueva búsqueda en la entidad seleccionada.
    • Haz clic en una de las barras del gráfico para cambiar a la pestaña Alertas en esta página y comenzar una nueva búsqueda en la entidad seleccionada con el intervalo de tiempo de la barra en la que se hizo clic.
    • Haz clic en el vínculo Ver más para abrir la vista Campos de entidad y mostrar todos los campos de entidad asociados con el usuario. Para copiar un campo de entidad en el portapapeles, haz clic en la casilla de verificación junto al campo de entidad, en Ver acciones y, luego, en Copiar entidad. Haz clic en la casilla de verificación en la parte superior para seleccionar todas las entidades.
  • Entidades asociadas: Muestra las entidades con las que está relacionado este usuario, como los dominios con los que se comunicó o los recursos a los que accedió. La lista incluye el tipo de entidad, cuándo se vio por primera vez en tu empresa y cuándo se vio por última vez. Haz clic en una entidad para abrir el panel Contexto de la entidad.
  • Contexto de la entidad: Muestra detalles sobre la entidad que seleccionas en el panel Entidades asociadas. La información de este panel es diferente según el tipo de entidad (por ejemplo, activo o dominio).
  • Ir a la vista heredada: Navega a la vista de investigación Usuario heredada. Para obtener más información, consulta Cómo investigar a un usuario.

Pestaña Eventos

En la pestaña Eventos, se muestran los eventos conectados a tu búsqueda de la AUA durante el período determinado. Estos eventos se enumeran en la tabla Eventos. Si haces clic en la marca de tiempo de un evento, se abrirá un diálogo en el que se mostrarán los activos y los archivos asociados con el evento. Si haces clic en cualquiera de estos elementos, se abrirá el panel Contexto de la entidad, que proporciona información adicional sobre la entidad, incluida una lista de las alertas asociadas y un gráfico de alertas que muestra la frecuencia de esas alertas a lo largo del tiempo.

Para obtener información sobre los eventos de la UDM, consulta Estructura de un evento de la UDM.

Usa la opción Pivot para abrir la configuración de Pivot. Estos parámetros de configuración te permiten analizar eventos con expresiones y funciones en función de los resultados de la Búsqueda de UDM. Para obtener más información, consulta Cómo usar la tabla dinámica para analizar eventos.

Gráfico de tendencias en el tiempo

El gráfico Tendencia a lo largo del tiempo muestra los eventos durante el período especificado en la búsqueda de la AUA. Las alertas se muestran en rojo debajo del gráfico. Si haces clic en una de las barras, se limita el enfoque de la pestaña Eventos a ese período. Los eventos asociados con ese intervalo de tiempo se muestran en la tabla Eventos.

Gráfico de prevalencia del dominio

En el gráfico Preponderancia de dominios, se muestra la prevalencia de los dominios asociados con tu búsqueda en tu empresa. Si colocas el cursor sobre uno de los círculos del gráfico, se mostrará el dominio específico y podrás limitar la búsqueda solo a los eventos asociados con ese dominio. El gráfico solo se muestra si tu búsqueda de la AUA incluye un dominio.

Pestaña Alertas

La pestaña Alertas te permite mostrar información detallada sobre las alertas conectadas a tu búsqueda de la AUA.

  • Gráfico: Muestra la cantidad de alertas por período durante el tiempo especificado en la búsqueda de la AUA (el período varía según la duración de la búsqueda). La casilla de verificación Alertas filtradas te permite ver o ocultar las alertas que procesan las opciones de Filtros. La casilla de verificación Consultar alertas te permite ver o ocultar todas las alertas que procesa la búsqueda de la AUA.
  • Filtros: Te permite filtrar las alertas según las opciones que se indican. Por ejemplo, puedes hacer clic en Gravedad, en la opción de menú Media y seleccionar Mostrar solo. Se vuelven a cargar el gráfico y la tabla para mostrar solo las alertas con gravedad media.
  • Tabla Alertas: Muestra las alertas asociadas con la búsqueda de la AUA. Cuando haces clic en una alerta, se abre el Visualizador de alertas para mostrar información adicional. Si haces clic en Ver detalles, se abrirá la vista Alertas y IOC (consulta Ver alertas y IOC). Si haces clic en una barra de filtro específica en el gráfico, solo se mostrarán las alertas asociadas con esa barra. Del mismo modo, si agregas filtros, la tabla se vuelve a cargar y solo se muestran las alertas vinculadas a tus selecciones.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.